Abstract image of a woman sitting on books and studying on a laptop

02 Sokolov

T
Training center "Echelon"

Документ обсуждает тестирование на проникновение как метод имитации действий нарушителей для оценки эффективности средств защиты информации. Он классифицирует виды нарушителей и их мотивацию, а также описывает различные векторы и уязвимости, используемые в процессе тестирования. В результате тестирования заказчики получают детальные отчёты с рекомендациями по улучшению политики информационной безопасности.

Technology
1 of 21
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Тестирование на проникновение как имитация действий мотивированного и целеустремленного нарушителя Соколов Андрей Викторович
Что такое тестирование на проникновение? В общепринятом смысле, тестирование на проникновение – исследование средств защиты с целью выяснения способности этих средств защиты осуществлять свои непосредственные функции Пассивное тестирование – сканирование и анализ, активное тестирование – ВЗЛОМ В моём понимании, тестирование на проникновение – это имитация действий целеустремлённого нарушителя, мотивированного на получение доступа к определённому объекту
Типовая модель нарушителя Типовая классификация нарушителей
Типовая модель нарушителя Уровень квалификации нарушителя (хакер-одиночка – группа хакеров – профессионал – группа профессионалов – конкуренты и спецслужбы) Уровень финансовых возможностей нарушителя Уровень осведомлённости нарушителя (уровень знаний нарушителя об организации информационной инфраструктуры) Используемые методы и средства Мотивация нарушителя Типовая классификация нарушителей
Настоящий нарушитель Настоящий нарушитель заинтересован в получении доступа к ОБЪЕКТУ ВОЗДЕЙСТВИЯ и совершения с данным объектом каких-либо действий:
Настоящий нарушитель Прежде всего, целеустремлён и мотивирован. Есть цель, и все действия нарушителя будут подчинены её достижению. Нарушитель не может подвергать себя риску быть обнаруженным, поэтому ВЗЛОМ он будет совершать лишь в случае возникновения непреодолимых препятствий в процессе достижения цели как крайнюю и наиболее опасную меру. Будет пользоваться методами работы, не отражёнными в типовых методиках проведения тестирования на проникновение. Будет пользоваться программным обеспечением (как приобретённым на «чёрном рынке» так называемого «пацанского ПО», так и создаваемым самостоятельно), позволяющим игнорировать, аккуратно и эффективно обходить современные средства защиты локального и корпоративного уровня. Вероятнее всего, не будет интересоваться конъюнктурными и нестабильными технологическими и эксплуатационными уязвимостями, и будет ориентирован на уязвимости более фундаментального порядка: организационные и архитектурные.
Руткиты: краеугольный камень успешного проникновения
Пространство воздействия Лобовой (локальный или удалённый) вектор – непосредственно ВЗЛОМ Интерактивный вектор Физический вектор
Пространство воздействия Тестирование на проникновение к определенному объекту
Лобовое воздействие Малоэффективен и практически не результативен со стороны «внешнего» нарушителя Эффективен и практически всегда результативен со стороны «внутреннего» нарушителя Исключение: компании, существенная ( или даже бОльшая) часть критичных информационных ресурсов которой расположены и функционируют непосредственно в открытом Интернете Лобовое воздействие == взлом
Концепция защиты внешнего периметра Межсетевые экраны корпоративного уровня. Пакетная фильтрация входящего трафика Средства пакетной и контентной фильтрации исходящего трафика Системы обнаружения вторжений, системы противодействия вторжениям ( IDS/IPS -системы) Антивирусное ПО корпоративного уровня Разнообразные средства мониторинга информационной активности (от бесплатных любительских до таких «тяжёлых» как ArcSight) Почти всегда есть:
Концепция защиты внешнего периметра Средств персональной проактивной защиты рабочего места Исправно работающих серверов обновлений ПО ( Windows Software Update Services) – чем «краснее» отчёт XSpider’ а, тем хуже работает WSUS Внятной и хорошо работающей корпоративной политики безопасности: На корпоративном уровне На уровне частных регламентов и инструкций Почти никогда нет:
Интерактивное воздействие Лобовое воздействие – сценарий проникновения, инициированный и совершенный взломщиком Интерактивное воздействие – сценарий проникновения, инициированный взломщиком, но осуществлённый «инсайдером»: лицом, имеющим непосредственный доступ к искомому информационному ресурсу. Социальная инженерия – механизм групповой или индивидуальной психологической манипуляции (навязывания мотивации) над физическими лицами, имеющими непосредственный доступ к информационным ресурсам и прочим объектам защиты
Физическое воздействие Непосредственное физическое воздействие – сценарий проникновения, при котором «внешний» нарушитель становится «внутренним», физически пересекая периметр объекта защиты Опосредованное физическое воздействие – физический контакт с лицом, имеющим легитимный доступ внутрь физического периметра объекта защиты
Классификация уязвимостей Лобовой вектор воздействия: эксплуатационные и технологические уязвимости Эксплуатационные: плохие пароли ; настройки по умолчанию ; избыточное программное обеспечение ; Технологические: лобовые уязвимости программного обеспечения Интерактивный и физический векторы воздействия: архитектурные и организационные уязвимости Архитектурные: фундаментальные, трудно контролируемые свойства объектов защиты Организационные: слабая или отсутствующая политика безопасности
Локальные администраторы VIP- пользователи, top- менеджмент: те, кто принимают законы, обычно не выполняют их сами Системные администраторы, сотрудники IT- отделов: те, кто охраняют законы, обычно не подчиняются им Разработчики ПО: подобного рода деятельность невозможна без прав локального администратора Пользователи программного обеспечения (как правило, отечественного производства), использующего средства контроля целостности программного кода, которое нуждается в правах локального администратора – бухгалтерский, особый банковский софт
ARP Poison
ARP Poison: возможности Прослушивание трафика Произвольная модификация трафика Изоляция произвольных узлов, произвольное внедрение таких сервисов как ложные DHCP и DC, и т.д. Диссекция криптографических протоколов (при наличии приватного ключа серверной стороны – прозрачная диссекция) Наиболее гибкая и расширяемая реализация ARP Poison – программа ettercap Внедрение произвольного кода
Пример внедрения бинарного кода
Что получает Заказчик? Тестирование на проникновение как «страшилка» для руководства: наглядная иллюстрация того, насколько быстро, легко и дёшево потенциальный злоумышленник может установить контроль над наиболее ценными информационными ресурсами Компании Детальный отчёт о проведённом тестировании на проникновение с соответствующими рекомендациями, как правило, сводящимися к: Необходимости проведения комплексного аудита информационной безопасности Необходимости пересмотра политики информационной безопасности Компании (или, в ряде случаев, создания такой политики с нуля)
Наши контакты 117105, г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: sav @DialogNauka.ru

More Related Content

PDF
Кто такой специалист по иб
Teymur Kheirkhabarov
 
PDF
Целенаправленные атаки на мобильные устройства
DialogueScience
 
PPTX
Обеспечение безопасности сети
kakmenyavsezadralo
 
PPTX
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
PDF
защита по для банкоматов
Expolink
 
PPTX
Abashev
Andrew Paymushkin
 
PDF
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
PDF
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 
Кто такой специалист по иб
Teymur Kheirkhabarov
 
Целенаправленные атаки на мобильные устройства
DialogueScience
 
Обеспечение безопасности сети
kakmenyavsezadralo
 
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
защита по для банкоматов
Expolink
 
Abashev
Andrew Paymushkin
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 

What's hot (20)

PPTX
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
Expolink
 
PPTX
Информационная система с точки зрения атакующего (2011)
Alexey Kachalin
 
PPT
Реальные опасности виртуального мира.
Dmitry Evteev
 
PPTX
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
PPS
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
Expolink
 
PDF
Трудовые будни охотника на угрозы
Sergey Soldatov
 
PDF
Инструментальный анализ ИБ - РусКрипто'13
Alexey Kachalin
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
PDF
Threat hunting as SOC process
Sergey Soldatov
 
PDF
Целевые атаки. Infosecurity Russia 2013
Denis Bezkorovayny
 
PDF
Методологии аудита информационной безопасности
Positive Hack Days
 
PDF
Анализ уязвимостей ПО
Sergey Borisov
 
PPT
SearchInform - Особенности защиты от внутренних угроз в банковской сфере
Expolink
 
PPT
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Expolink
 
PPTX
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
PPTX
андрей масалович презентация
journalrubezh
 
PDF
Введение в конкурентную разведку
RISClubSPb
 
PPTX
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
 
PDF
Увидеть все
Cisco Russia
 
PPTX
Security testing presentation
Uladzislau Murashka
 
InfoWatch. Алексей Воронко "Внутренние и внешние угрозы ИБ - мифы и реальност...
Expolink
 
Информационная система с точки зрения атакующего (2011)
Alexey Kachalin
 
Реальные опасности виртуального мира.
Dmitry Evteev
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
Expolink
 
Трудовые будни охотника на угрозы
Sergey Soldatov
 
Инструментальный анализ ИБ - РусКрипто'13
Alexey Kachalin
 
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Threat hunting as SOC process
Sergey Soldatov
 
Целевые атаки. Infosecurity Russia 2013
Denis Bezkorovayny
 
Методологии аудита информационной безопасности
Positive Hack Days
 
Анализ уязвимостей ПО
Sergey Borisov
 
SearchInform - Особенности защиты от внутренних угроз в банковской сфере
Expolink
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Expolink
 
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
андрей масалович презентация
journalrubezh
 
Введение в конкурентную разведку
RISClubSPb
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
 
Увидеть все
Cisco Russia
 
Security testing presentation
Uladzislau Murashka
 
Ad

Viewers also liked (14)

PDF
Apuntes física
joseluisph1234
 
PDF
Scanned-image
Gustavo Junqueira
 
PDF
Kubanka_ID2
Tyler Kubanka
 
DOC
Publications latest oct-15
The Maharaja Sayajirao University of Baroda
 
PDF
Gov Out
euwebsc01
 
PDF
Sam 4835ingles3 3IV11 ALMANZA
Luis Luna
 
DOCX
Ejercicio 5
ERICK FRANCISCO ALVAREZ DIAZ
 
DOCX
Evaluación diagnostica de ciclo escolar 2015.2016
Belen Ovalle
 
DOCX
Footprint calculator
xiaomingkie
 
PDF
Sam 4854ingles3 3IV11 ALMANZA
Luis Luna
 
DOCX
Location recce
empentertainment
 
PPTX
Recursos para el aprendizaje upel du05
pogranichny
 
DOCX
Eniigmas y lemas aldo y juan
Belen Ovalle
 
PPTX
Research Methodolgy
Sandeep Patel
 
Apuntes física
joseluisph1234
 
Scanned-image
Gustavo Junqueira
 
Kubanka_ID2
Tyler Kubanka
 
Publications latest oct-15
The Maharaja Sayajirao University of Baroda
 
Gov Out
euwebsc01
 
Sam 4835ingles3 3IV11 ALMANZA
Luis Luna
 
Ejercicio 5
ERICK FRANCISCO ALVAREZ DIAZ
 
Evaluación diagnostica de ciclo escolar 2015.2016
Belen Ovalle
 
Footprint calculator
xiaomingkie
 
Sam 4854ingles3 3IV11 ALMANZA
Luis Luna
 
Location recce
empentertainment
 
Recursos para el aprendizaje upel du05
pogranichny
 
Eniigmas y lemas aldo y juan
Belen Ovalle
 
Research Methodolgy
Sandeep Patel
 
Ad

Similar to 02 Sokolov (20)

PPT
Kiberopastnost Sg
anisol
 
PDF
Решения КРОК для противодействия направленным атакам
КРОК
 
PPTX
Информационная безопасность
Evgeniya0352
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
PDF
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Cisco Russia
 
PPT
Penetration testing
Alexander Dorofeev
 
PPTX
03
malvvv
 
PDF
Современные вирусные угрозы: тенденции развития и методы борьбы
alterbass
 
PPT
Троянские программы.
BitUser Nguyễn
 
PPTX
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
Denis Gorchakov
 
PPTX
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
PPT
Hacker Attack 2008 Netsajev Sg
anisol
 
PDF
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
PPTX
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
 
PDF
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
PPTX
Penetration testing
Training center "Echelon"
 
PDF
Лаборатория Касперского. Иван Катаев. "Банки – мишень для целевых атак и масс...
Expolink
 
PPTX
Информационная безопасность
Диана Заяц
 
PDF
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
PPT
Виртуальная сфера - Безопасность - Хакеры и Терроризм
SL.GH VIPNET T.C
 
Kiberopastnost Sg
anisol
 
Решения КРОК для противодействия направленным атакам
КРОК
 
Информационная безопасность
Evgeniya0352
 
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Cisco Russia
 
Penetration testing
Alexander Dorofeev
 
03
malvvv
 
Современные вирусные угрозы: тенденции развития и методы борьбы
alterbass
 
Троянские программы.
BitUser Nguyễn
 
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
Denis Gorchakov
 
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
Hacker Attack 2008 Netsajev Sg
anisol
 
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
 
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
Penetration testing
Training center "Echelon"
 
Лаборатория Касперского. Иван Катаев. "Банки – мишень для целевых атак и масс...
Expolink
 
Информационная безопасность
Диана Заяц
 
InfoWatch. Александр Орда. "Эффективное противодействие внутренним угрозам"
Expolink
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
SL.GH VIPNET T.C
 

More from Training center "Echelon" (9)

PPT
03 Koloskov
Training center "Echelon"
 
PPTX
04 Dorofeev
Training center "Echelon"
 
PPT
01 Sachkov
Training center "Echelon"
 
DOC
Security Audit Rfp Template
Training center "Echelon"
 
DOC
Pentest Report Sample
Training center "Echelon"
 
PPTX
Introduction
Training center "Echelon"
 
PPTX
Module 5 Google Hacking
Training center "Echelon"
 
PPTX
введение
Training center "Echelon"
 
PPTX
TB FORUM
Training center "Echelon"
 
03 Koloskov
Training center "Echelon"
 
04 Dorofeev
Training center "Echelon"
 
01 Sachkov
Training center "Echelon"
 
Security Audit Rfp Template
Training center "Echelon"
 
Pentest Report Sample
Training center "Echelon"
 
Introduction
Training center "Echelon"
 
Module 5 Google Hacking
Training center "Echelon"
 
введение
Training center "Echelon"
 
TB FORUM
Training center "Echelon"
 

02 Sokolov

  • 1. Тестирование на проникновение как имитация действий мотивированного и целеустремленного нарушителя Соколов Андрей Викторович
  • 2. Что такое тестирование на проникновение? В общепринятом смысле, тестирование на проникновение – исследование средств защиты с целью выяснения способности этих средств защиты осуществлять свои непосредственные функции Пассивное тестирование – сканирование и анализ, активное тестирование – ВЗЛОМ В моём понимании, тестирование на проникновение – это имитация действий целеустремлённого нарушителя, мотивированного на получение доступа к определённому объекту
  • 3. Типовая модель нарушителя Типовая классификация нарушителей
  • 4. Типовая модель нарушителя Уровень квалификации нарушителя (хакер-одиночка – группа хакеров – профессионал – группа профессионалов – конкуренты и спецслужбы) Уровень финансовых возможностей нарушителя Уровень осведомлённости нарушителя (уровень знаний нарушителя об организации информационной инфраструктуры) Используемые методы и средства Мотивация нарушителя Типовая классификация нарушителей
  • 5. Настоящий нарушитель Настоящий нарушитель заинтересован в получении доступа к ОБЪЕКТУ ВОЗДЕЙСТВИЯ и совершения с данным объектом каких-либо действий:
  • 6. Настоящий нарушитель Прежде всего, целеустремлён и мотивирован. Есть цель, и все действия нарушителя будут подчинены её достижению. Нарушитель не может подвергать себя риску быть обнаруженным, поэтому ВЗЛОМ он будет совершать лишь в случае возникновения непреодолимых препятствий в процессе достижения цели как крайнюю и наиболее опасную меру. Будет пользоваться методами работы, не отражёнными в типовых методиках проведения тестирования на проникновение. Будет пользоваться программным обеспечением (как приобретённым на «чёрном рынке» так называемого «пацанского ПО», так и создаваемым самостоятельно), позволяющим игнорировать, аккуратно и эффективно обходить современные средства защиты локального и корпоративного уровня. Вероятнее всего, не будет интересоваться конъюнктурными и нестабильными технологическими и эксплуатационными уязвимостями, и будет ориентирован на уязвимости более фундаментального порядка: организационные и архитектурные.
  • 7. Руткиты: краеугольный камень успешного проникновения
  • 8. Пространство воздействия Лобовой (локальный или удалённый) вектор – непосредственно ВЗЛОМ Интерактивный вектор Физический вектор
  • 9. Пространство воздействия Тестирование на проникновение к определенному объекту
  • 10. Лобовое воздействие Малоэффективен и практически не результативен со стороны «внешнего» нарушителя Эффективен и практически всегда результативен со стороны «внутреннего» нарушителя Исключение: компании, существенная ( или даже бОльшая) часть критичных информационных ресурсов которой расположены и функционируют непосредственно в открытом Интернете Лобовое воздействие == взлом
  • 11. Концепция защиты внешнего периметра Межсетевые экраны корпоративного уровня. Пакетная фильтрация входящего трафика Средства пакетной и контентной фильтрации исходящего трафика Системы обнаружения вторжений, системы противодействия вторжениям ( IDS/IPS -системы) Антивирусное ПО корпоративного уровня Разнообразные средства мониторинга информационной активности (от бесплатных любительских до таких «тяжёлых» как ArcSight) Почти всегда есть:
  • 12. Концепция защиты внешнего периметра Средств персональной проактивной защиты рабочего места Исправно работающих серверов обновлений ПО ( Windows Software Update Services) – чем «краснее» отчёт XSpider’ а, тем хуже работает WSUS Внятной и хорошо работающей корпоративной политики безопасности: На корпоративном уровне На уровне частных регламентов и инструкций Почти никогда нет:
  • 13. Интерактивное воздействие Лобовое воздействие – сценарий проникновения, инициированный и совершенный взломщиком Интерактивное воздействие – сценарий проникновения, инициированный взломщиком, но осуществлённый «инсайдером»: лицом, имеющим непосредственный доступ к искомому информационному ресурсу. Социальная инженерия – механизм групповой или индивидуальной психологической манипуляции (навязывания мотивации) над физическими лицами, имеющими непосредственный доступ к информационным ресурсам и прочим объектам защиты
  • 14. Физическое воздействие Непосредственное физическое воздействие – сценарий проникновения, при котором «внешний» нарушитель становится «внутренним», физически пересекая периметр объекта защиты Опосредованное физическое воздействие – физический контакт с лицом, имеющим легитимный доступ внутрь физического периметра объекта защиты
  • 15. Классификация уязвимостей Лобовой вектор воздействия: эксплуатационные и технологические уязвимости Эксплуатационные: плохие пароли ; настройки по умолчанию ; избыточное программное обеспечение ; Технологические: лобовые уязвимости программного обеспечения Интерактивный и физический векторы воздействия: архитектурные и организационные уязвимости Архитектурные: фундаментальные, трудно контролируемые свойства объектов защиты Организационные: слабая или отсутствующая политика безопасности
  • 16. Локальные администраторы VIP- пользователи, top- менеджмент: те, кто принимают законы, обычно не выполняют их сами Системные администраторы, сотрудники IT- отделов: те, кто охраняют законы, обычно не подчиняются им Разработчики ПО: подобного рода деятельность невозможна без прав локального администратора Пользователи программного обеспечения (как правило, отечественного производства), использующего средства контроля целостности программного кода, которое нуждается в правах локального администратора – бухгалтерский, особый банковский софт
  • 18. ARP Poison: возможности Прослушивание трафика Произвольная модификация трафика Изоляция произвольных узлов, произвольное внедрение таких сервисов как ложные DHCP и DC, и т.д. Диссекция криптографических протоколов (при наличии приватного ключа серверной стороны – прозрачная диссекция) Наиболее гибкая и расширяемая реализация ARP Poison – программа ettercap Внедрение произвольного кода
  • 20. Что получает Заказчик? Тестирование на проникновение как «страшилка» для руководства: наглядная иллюстрация того, насколько быстро, легко и дёшево потенциальный злоумышленник может установить контроль над наиболее ценными информационными ресурсами Компании Детальный отчёт о проведённом тестировании на проникновение с соответствующими рекомендациями, как правило, сводящимися к: Необходимости проведения комплексного аудита информационной безопасности Необходимости пересмотра политики информационной безопасности Компании (или, в ряде случаев, создания такой политики с нуля)
  • 21. Наши контакты 117105, г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: sav @DialogNauka.ru